互联网金融怎样防控风险

金融行业首要工作便是做好风险防控。P2P作为金融信息服务行业，风险防控自是重中之重，易通贷CEO康文表示：“安全是整个业务的核心。对P2P从业者来说，风险防控是前面的1，其余都是0。”他建议，P2P平台应通过商业模式、平台制度、系统建设和交易安全等方面来构建风险防控体系。

网络系统风险评估势在必行？

6月底，深圳某著名妇幼保健医院发生了产妇和婴儿资料信息泄露的严重事件。据知情人透露是有人利用职务之便，在上班期间仅仅用了5分钟时间，通过U盘拷贝了相关的重要数据后，被不法分子得到随即以1。2万元的价格对外出售。

其实，妇幼信息泄露事件只是企业网络风险的一种。
企业网络信息面临各种各样的风险，外部攻击、内网泄露、违规上网行为、应用业务压力风险等等，要解决这么问题，我们需要对它们进行系统的认识，进行整体的评估。只有如此，才能掌控全局。也因此，对于不少企业来说，网络信息系统的风险评估，显得越来越重要了。
但是，风险评估如何进行呢？它到底能带来什么？为此，我们组织了本次专题。

网络系统正处于内忧外患？

互联网上存在着各种各样的危险，这种危险要能是恶意的，也可能是非恶意的，如因失误而造成的事故；恶意的危险又分为理智型的 ( 如故意偷取企业机密) 和非理智型的( 如毁坏企业的数据) 。
总的说来，比较典型的危险主要包括如下几个方面：

1、 软硬件设计故障导致网络瘫痪。

如防火墙意外瘫痪而导致失效，以致安全设置形同虚设；由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等；

2、 黑客入侵。

一些不坏好意的人强行闯入企业网实施破坏；冒充合法的用户进行企业网内部，偷盗企业机密信息和破坏企业形象等等；

3、 敏感信息泄露。

企业内部的敏感信息被入侵者偷看，导致这种状况的有几种原因，如寻径错误的电子邮件、配置错误的访问控制列表，没有严格地设置好不同用户的访问权限等等；

4、 信息删除。

有时网管员对安全权限设置不当，导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等等。

也就说互联网上的危险不仅来自于外面，而且有时也来自于内部。虽然在互联网上存在不同程度的危险，但为了企业的业务发展，很多企业不得不把企业的内部网联入互联网，向雇员提供互联网的访问。

美国可以说是比较注重网络安全的国家之一，但是根据 IDG 公司的调查报告表明，在所有被调查的公司中，进行常规性安全检查的公司还不到一半，只有 30% 的公司具有跟踪用户访问的能力， 1/3 的公司使用加密技术，其中有60 家左右的公司在三个月内遭受到142 次入侵。
美国尚且如此，我们国家的企业网安全现状如何呢？笔者今年年初在北京参加一次安全会议时，有一安全专家对我国企业网的安全状况用“确实应该引起我们警觉”来概括。

网络系统是被自己打倒的？

让我们再来看一下妇幼信息泄露事件过程，正如ITpub信息安全与审计版斑主 马庆老师在接受IT168视频专访时所言：“如果这家医院对妇幼资料进行了适当的安全存放，还会走盗走么？如果对之进行了访问控制权限处理，还会发生此事么？如果对妇幼资料的访问进行了访问历史记录，谁还敢把数据拷走？”

妇幼信息泄露事件之所以发生，并非外力所为，而是这家医院自身的网络信息系统的管理体制缺陷问题。

企业网络除了受外界攻击外，自身的缺陷也是很严重的问题，甚至可以将自己打侄。

互联网在设计之初，根本就没想到会发展到今天这个地步，当时认为互联网只是在比较小的范围内使用，在设计互联网 TCP/IP 协议时，主要考虑的是数据的共享，把数据安全忽略掉了。
这就如盖一座楼房地基都没有打好，自然而然危险在当初就种下了，对于危险产生的原因主要有下面几条：

1、不同厂商不同标准的产品集成在网络中引起配置的复杂性。具体说来就是网络安全控制由于各种各样的硬件产品与软件产品的加入使安全配置变得异常复杂， 很容易出现配置错误或失误，以致会导致未经授权的访问；

2、缺乏相应的总体考虑。
有些网络在进行系统配置时，无意识地扩大了互联网的访问范围，没有意识到某些互联网服务会被滥用，许多企业网所允许的访问服务类型过多，不能对一些可能会对入侵者有所帮助的网络信息加以访问限制；

3、企业网络系统自身缺陷，操作系统的漏洞，TCP/IP 协议本身固有的缺陷。
如前所述， TCP/IP 本身具有一些缺陷，在设计之初就不是太安全，一些有经验的黑客很容易利用 TCP/IP 的缺陷攻击企业网；

4、大部分的数据没有加密，没有设置访问控制权限。企业数据在传递的过程中很少有加密的，现在有很多现成的软件都能对此进行半路拦截。

上面的四条是主要的四个原因，当然还有其它的原因。知道了不安全的原因，那么我们在考虑企业网安全方案时就有了一个目标，有意识地针对产生危险的原因来设计企业网安全方案。